- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
12-802.1X命令(三层)
本章节下载: 12-802.1X命令(三层) (308.42 KB)
目 录
1.1.2 display dot1x connection
1.1.3 dot1x access-user log enable
1.1.4 dot1x authentication-method
1.1.6 dot1x duplicate-eapol-start discard
1.1.8 dot1x handshake reply enable
1.1.15 dot1x re-authenticate { authentication-fail | server-unreachable } keep-online
1.1.18 reset dot1x access-user
display dot1x命令用来显示802.1X的相关信息。
【命令】
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
interface interface-type interface-number:显示指定接口的802.1X信息。interface-type interface-number为接口类型和接口编号。
【使用指导】
如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
如果不指定interface参数,则显示所有接口的802.1X信息。
【举例】
# 显示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Max auth-fail times before quiet : 3
Max auth-fail period before quiet : 30 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
Domain delimiter : @
Online 802.1X wired users : 1
Ten-GigabitEthernet3/1/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Mandatory auth domain : Not configured
Re-auth server-unreachable : Logoff
Re-auth authentication-fail : Logoff
Max-user high alarm threshold : Not configured
Max-user alarm clear threshold : Not configured
Max online users : 256
Discard duplicate EAPOL-Start : No
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0000 Authenticated
表1-1 display dot1x命令显示信息描述表
|
字段 |
描述 |
|
Global 802.1X parameters |
全局802.1X参数配置信息 |
|
802.1X authentication |
全局802.1X的开启状态 |
|
CHAP authentication |
启用EAP终结方式,并采用CHAP认证方法 |
|
EAP authentication |
启用EAP中继方式,并支持所有EAP认证方法 |
|
PAP authentication |
启用EAP终结方式,并采用PAP认证方法 |
|
Max-tx period |
用户名请求超时定时器的值 |
|
Handshake period |
握手定时器的值 |
|
Quiet timer |
静默定时器的开启状态 |
|
Quiet period |
静默定时器的值 |
|
Max auth-fail times before quiet |
静默前允许客户端认证失败的次数,若未配置则显示Not configured |
|
Max auth-fail period before quiet |
静默前客户端认证失败重试定时器的值,若未配置则显示Not configured |
|
Supp timeout |
客户端认证超时定时器的值 |
|
Server timeout |
认证服务器超时定时器的值 |
|
Reauth period |
重认证定时器的值 |
|
Max auth requests |
设备向接入用户发送认证请求报文的最大次数 |
|
Domain delimiter |
域名分隔符 |
|
Online 802.1X wired users |
在线802.1X有线用户和正在发起认证的802.1X有线用户的总数 |
|
Ten-GigabitEthernet3/1/1 is link-up |
接口Ten-GigabitEthernet3/1/1的链路状态 |
|
802.1X authentication |
接口上802.1X的开启状态 |
|
Handshake |
在线用户握手功能的开启状态 |
|
Handshake reply |
在线用户握手回应功能的开启状态 |
|
Handshake security |
安全握手功能的开启状态 |
|
Periodic reauth |
周期性重认证功能的开启状态 |
|
Port role |
该接口担当认证端的作用,目前仅支持作为认证端 |
|
Mandatory auth domain |
接口上的接入用户使用的强制认证域 |
|
Re-auth server-unreachable |
重认证时服务器不可达对802.1X在线用户采取的动作 |
|
Re-auth authentication-fail |
重认证失败时对802.1X在线用户采取的动作 · Logoff:下线 · Online:保持在线 |
|
Max-user high alarm threshold |
本端口接入用户数上限告警阈值,若未配置则显示Not configured |
|
Max-user alarm clear threshold |
本端口接入用户数恢复阈值,若未配置则显示Not configured |
|
Max online users |
本接口最多可容纳的接入用户数 |
|
Discard duplicate EAPOL-Start |
在802.1X用户认证过程中,设备是否丢弃重复的EAPOL-Start报文: · Yes:丢弃 · No:不丢弃 |
|
EAPOL packets |
EAPOL报文数目。Tx表示发送的报文数目;Rx表示接受的报文数目 |
|
Sent EAP Request/Identity packets |
发送的EAP Request/Identity报文数 |
|
EAP Request/Challenge packets |
发送的EAP Request/Challenge报文数 |
|
EAP Success packets |
发送的EAP Success报文数 |
|
EAP Fail packets |
发送的EAP Failure报文数 |
|
Received EAPOL Start packets |
接收的EAPOL Start报文数 |
|
EAPOL LogOff packets |
接收的EAPOL LogOff报文数 |
|
EAP Response/Identity packets |
接收的EAP Response/Identity报文数 |
|
EAP Response/Challenge packets |
接收的EAP Response/Challenge报文数 |
|
Error packets |
接收的错误报文数 |
|
Online 802.1X users |
接口上的在线802.1X用户和正在发起认证的802.1X用户的总数 |
|
MAC address |
802.1X用户的MAC地址 |
|
Auth state |
802.1X用户的认证状态 |
display dot1x connection命令用来显示当前802.1X在线用户的详细信息。
【命令】
(独立运行模式)
display dot1x connection [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name name-string ]
(IRF模式)
display dot1x connection [ chassis chassis-number slot slot-number | interface interface-type interface-number | user-mac mac-address | user-name name-string ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的802.1X在线用户信息。其中interface-type interface-number表示接口类型和接口编号。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
user-mac mac-address:显示指定MAC地址的802.1X在线用户信息。其中mac-address表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
user-name name-string:显示指定用户名的802.1X在线用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
【使用指导】
通过本命令可以显示当前802.1X在线用户的详细信息。对于授权属性,本命令只显示服务器的授权信息,是否授权成功可通过display ip subscriber session命令查看,有关display ip subscriber session命令的详细信息请参见“BRAS业务命令参考”中的“IPoE”。
【举例】
# 显示所有802.1X在线用户信息。(独立运行模式)
<Sysname> display dot1x connection
Slot ID: 1
User MAC address: 0015-e9a6-7cfe
Access interface: Ten-GigabitEthernet3/1/1
Username: ias
Authentication domain: h3c
Authentication method: CHAP
Initial CVLAN: 1
Initial SVLAN: 1
Termination action: Default
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Total 1 connections matched.
表1-2 display dot1x connection 命令显示信息描述表
|
字段 |
描述 |
|
User MAC address |
用户的MAC地址 |
|
Access interface |
用户的接入接口名称 |
|
Username |
用户名 |
|
Authentication domain |
认证时使用的ISP域的名称 |
|
Authentication method |
802.1X系统的认证方法 · CHAP:启用EAP终结方式,并采用CHAP认证方法 · EAP:启用EAP中继方式,并支持所有EAP认证方法 · PAP:启用EAP终结方式,并采用PAP认证方法 |
|
Initial CVLAN |
用户所在的私网VLAN |
|
Initial SVLAN |
用户所在的公网VLAN |
|
Termination action |
服务器下发的终止动作类型: · Default:会话超时时长到达后,强制用户下线。但是,如果设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则接口会以重认证定时器的值为周期向该接口在线802.1X用户发起重认证,而不会强制用户下线 · Radius-Request:会话超时时长到达后,要求802.1X用户进行重认证 用户采用本地认证时,该字段显示为Default |
|
Session timeout period |
服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminate action字段的取值决定 |
|
Online from |
用户的上线时间 |
|
Online duration |
用户的在线时长 |
|
Total xxx connections matched. |
在线用户个数 |
dot1x access-user log enable命令用来开启802.1X接入用户日志信息功能。
undo dot1x access-user log enable 命令用来关闭802.1X接入用户日志信息功能。
【命令】
dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | quiet-rule-failed | successful-login ]
undo dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | quiet-rule-failed | successful-login ]
【缺省情况】
802.1X接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
abnormal-logoff:802.1X接入用户异常下线(例如实时计费失败下线,重认证失败下线等)的日志信息。
quiet-rule-failed:下发静默规则失败的日志信息。其中,静默规则用于提高系统丢弃静默用户802.1X协议报文的效率。
failed-login:802.1X接入用户上线失败的日志信息。
normal-logoff:802.1X接入用户正常下线的日志信息。
successful-login:802.1X接入用户上线成功时的日志信息
【使用指导】
为了防止设备输出过多的802.1X接入用户日志信息,一般情况下建议关闭此功能。
配置本命令时,如果未指定任何参数,同时开启或关闭本命令所有参数对应的日志功能。
【举例】
# 开启802.1X接入用户上线失败的日志信息。
<Sysname> system-view
[Sysname] dot1x access-user log enable failed-login
【相关命令】
· info-center source dot1x logfile deny
dot1x authentication-method命令用来配置802.1X系统的认证方法。
undo dot1x authentication-method命令用来恢复缺省情况。
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【缺省情况】
设备启用EAP终结方式,并采用CHAP认证方法。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
【使用指导】
在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。有关PAP和CHAP两种认证方法的详细介绍如下:
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,H3C iNode 802.1X客户端支持此认证方法。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。
采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法。
设备进行本地认证时不支持采用EAP认证方法。
若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“BRAS业务命令参考”中的“AAA”。
【举例】
# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【相关命令】
· display dot1x
dot1x domain-delimiter命令用来配置802.1X支持的域名分隔符。
undo dot1x domain-delimiter命令用来恢复缺省情况。
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【缺省情况】
802.1X支持的域名分隔符为@。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
string:多个域名分隔符组成的1~16个字符的字符串,且分隔符只能为@、.、/或\。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。
【使用指导】
目前,802.1X支持的域名分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-name, domain-name\username、username/domain-name和username.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.123/22\@abc,若设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.123/22。
系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。
【举例】
# 配置802.1X支持的域名分隔符为@和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @/
【相关命令】
· display dot1x
dot1x duplicate-eapol-start discard命令用来配置丢弃重复的802.1X EAPOL-Start报文。
undo dot1x duplicate-eapol-start discard命令用来恢复缺省情况。
【命令】
dot1x duplicate-eapol-start discard
undo dot1x duplicate-eapol-start discard
【缺省情况】
设备不丢弃收到的合法EAPOL-Start报文。
【视图】
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
三层聚合子接口视图
【缺省用户角色】
network-admin
【使用指导】
在用户的802.1X认证过程中,如果设备收到了该用户重复的EAPOL-Start报文,为了避免服务器无法响应此类报文而导致用户认证失败,建议在用户接入的接口上直接对其丢弃。
此功能仅在服务器无法响应冗余EAPOL-Start报文的环境中推荐配置,其它情况下建议保持缺省情况。
【举例】
# 配置对接口Ten-GigabitEthernet3/1/1上收到的重复EAPOL-Start报文进行丢弃处理。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x duplicate-eapol-start discard
【相关命令】
· display dot1x
dot1x handshake命令用于开启在线用户握手功能。
undo dot1x handshake命令用于关闭在线用户握手功能。
【命令】
dot1x handshake
undo dot1x handshake
【缺省情况】
在线用户握手功能处于关闭状态。
【视图】
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
三层聚合子接口视图
【缺省用户角色】
network-admin
【使用指导】
开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1x timer handshake-period设置)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(通过命令dot1x retry设置)没有收到客户端的响应报文,则会将用户置为下线状态。
【举例】
# 在接口Ten-GigabitEthernet3/1/1上开启在线用户握手功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x handshake
【相关命令】
· display dot1x
· dot1x timer handshake-period
· dot1x retry
dot1x handshake reply enable命令用来开启接口发送在线握手成功报文功能。
undo dot1x handshake reply enable命令用来关闭接口发送在线握手成功报文功能。
【命令】
dot1x handshake reply enable
undo dot1x handshake reply enable
【缺省情况】
接口发送在线握手成功报文功能处于关闭状态。
【视图】
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
三层聚合子接口视图
【缺省用户角色】
network-admin
【使用指导】
接口上开启在线用户握手功能后,缺省情况下,设备收到该接口上802.1X在线用户的在线握手应答报文(EAP-Response/Identity报文)后,则认为该用户在线,并不给客户端回应在线握手成功报文(EAP-Success报文)。但是,有些802.1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success报文),就会自动下线。为了避免这种情况发生,需要在接口上开启发送在线握手成功报文功能。
只有当802.1X客户端需要收到在线握手成功报文时,才需要开启此功能。
【举例】
# 在接口Ten-GigabitEthernet3/1/1上开启的发送在线握手成功报文功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x handshake reply enable
【相关命令】
· dot1x handshake
dot1x handshake secure命令用来开启在线用户握手安全功能。
undo dot1x handshake secure命令用来关闭在线用户握手安全功能。
【命令】
dot1x handshake secure
undo dot1x handshake secure
【缺省情况】
在线用户握手安全功能处于关闭状态。
【视图】
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
三层聚合子接口视图
【缺省用户角色】
network-admin
【使用指导】
开启在线用户握手安全功能后,可以防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。
只有设备上的在线用户握手功能处于开启状态时,安全握手功能才会生效。
本功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效。
【举例】
# 在接口Ten-GigabitEthernet3/1/1上开启在线用户握手安全功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x handshake secure
【相关命令】
· display dot1x
· dot1x handshake
dot1x mandatory-domain命令用来指定接口上802.1X用户使用的强制认证域。
undo dot1x mandatory-domain命令用来恢复缺省情况。
【命令】
dot1x mandatory-domain domain-name
undo dot1x mandatory-domain
【缺省情况】
未指定802.1X用户使用的强制认证域。
【视图】
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
三层聚合子接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
从指定接口上接入的802.1X用户将按照如下先后顺序选择认证域:接口上指定的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
【举例】
# 指定接口Ten-GigabitEthernet3/1/1上802.1X用户使用的强制认证域为my-domain。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x mandatory-domain my-domain
【相关命令】
· display dot1x
dot1x max-user命令用来配置接口上最多允许同时接入的802.1X用户数。
undo dot1x max-user命令用来恢复缺省情况。
接口上最多允许同时接入的802.1X用户数为4294967295。
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
max-number:接口允许同时接入的802.1X用户数的最大值,取值范围为1~4294967295。
由于系统资源有限,如果当前接口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前接口的用户获得可靠的性能保障。当接入此接口的802.1X用户数超过最大值后,新接入的用户将被拒绝。
# 配置接口Ten-GigabitEthernet3/1/1上最多允许同时接入32个802.1X用户。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x max-user 32
dot1x max-user-alarm命令用来开启接口上802.1X最大接入用户数告警功能,并设置上限告警阈值和恢复阈值。
undo dot1x max-user-alarm命令用来恢复缺省情况。
【命令】
dot1x max-user-alarm high-threshold high-threshold clear-threshold clear-threshold
undo dot1x max-user-alarm
【缺省情况】
接口上802.1X最大接入用户数告警功能处于关闭状态。
【视图】
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
三层聚合子接口视图
【缺省用户角色】
network-admin
【参数】
high-threshold high-threshold:上限告警阈值,当前接入用户数占最大用户数的百分比,取值范围为1~100。上限告警阈值应大于恢复阈值。
clear-threshold clear-threshold:恢复阈值,当前接入用户数占最大用户数的百分比,取值范围为0~99。
【使用指导】
开启接口上802.1X最大接入用户数告警功能并设置上限告警阈值和恢复阈值后,如果当前接口802.1X接入用户数占接口上最大用户数的百分比达到配置的上限告警阈值,则发送超限告警信息;如果当前接口802.1X接入用户数占接口上最大用户数的百分比恢复到配置的恢复阈值,则发送恢复提示信息。可通过dot1x max-user命令配置接口上最多允许同时接入的802.1X用户数。
达到上限告警阈值并发送超限告警信息后,除非低于恢复阈值,否则不会再次发送超限告警信息。
【举例】
# 开启接口上802.1X最大接入用户数告警功能,并设置上限告警阈值为70,恢复阈值为40。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x max-user-alarm high-threshold 70 clear-threshold 40
【相关命令】
· display dot1x
· dot1x max-user
dot1x quiet-period命令用来开启静默定时器功能。
undo dot1x quiet-period命令用来关闭静默定时器功能。
【命令】
dot1x quiet-period
undo dot1x quiet-period
【缺省情况】
静默定时器功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在静默定时器功能处于开启状态的情况下,设备将在一段时间之内不对处于静默状态的用户进行802.1X认证处理,该时间由802.1X静默定时器控制,可通过dot1x timer quiet-period命令配置。
【举例】
# 开启静默定时器功能,并配置静默定时器的值为100秒。
<Sysname> system-view
[Sysname] dot1x quiet-period
[Sysname] dot1x timer quiet-period 100
【相关命令】
· display dot1x
· dot1x timer
dot1x re-authenticate命令用来开启周期性重认证功能。
undo dot1x re-authenticate命令用来关闭周期性重认证功能。
【命令】
dot1x re-authenticate
undo dot1x re-authenticate
【缺省情况】
周期性重认证功能处于关闭状态。
【视图】
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
三层聚合子接口视图
【缺省用户角色】
network-admin
【使用指导】
接口开启了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1x timer reauth-period)设定的时间间隔定期启动对该接口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如URL、User Group、QoS Profile)。
【举例】
# 在接口Ten-GigabitEthernet3/1/1上开启802.1X重认证功能,并配置周期性重认证时间间隔为1800秒。
<Sysname> system-view
[Sysname] dot1x timer reauth-period 1800
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x re-authenticate
【相关命令】
· display dot1x
· dot1x timer
dot1x re-authenticate { authentication-fail | server-unreachable } keep-online命令用来配置重认证服务器不可达或重认证失败时接口上的用户保持在线状态。
undo dot1x re-authenticate { authentication-fail | server-unreachable } keep-online命令用来恢复缺省情况。
【命令】
dot1x re-authenticate { authentication-fail | server-unreachable } keep-online
undo dot1x re-authenticate { authentication-fail | server-unreachable } keep-online
【缺省情况】
接口上的802.1X在线用户重认证时,若认证服务器不可达或认证失败,则会被强制下线。
【视图】
三层以太网接口视图
三层聚合接口视图
三层以太网子接口视图
三层聚合子接口视图
【缺省用户角色】
network-admin
【参数】
authentication-fail:表示重认证失败。
server-unreachable:表示重认证服务器不可达。
【使用指导】
若接口上开启了802.1X的周期性重认证功能,则设备会定期对接口上的802.1X在线用户进行重认证,重认证过程中,若设备发现认证服务器状态不可达或重认证失败,则可以根据本配置,决定是否保持其在线状态。
【举例】
# 配置接口Ten-GigabitEthernet3/1/1上的802.1X在线用户进行重认证时,若服务器不可达或认证失败,则保持在线状态。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] dot1x re-authenticate server-unreachable keep-online
【相关命令】
· display dot1x
· dot1x re-authenticate
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。
undo dot1x retry命令用来恢复缺省情况。
【命令】
dot1x retry retries
undo dot1x retry
【缺省情况】
设备向接入用户发送认证请求报文的最大次数为2。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10。
【使用指导】
如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。对于EAP-Request/Identity报文,该时间由dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,该时间由dot1x timer supp-timeout设置。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【相关命令】
· display dot1x
· dot1x timer
dot1x timer命令用来配置802.1X的定时器参数。
undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value [ fail-retry fail-retries retry-period retry-period-value ] | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }
undo dot1x timer { handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }
【缺省情况】
握手定时器的值为15秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。
【视图】
系统视图
【缺省用户角色】
network-adminr
【参数】
handshake-period handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
quiet-period quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。
fail-retry fail-retries:静默前允许客户端认证失败的次数,取值范围为1~20。
retry-period retry-period-value:静默前客户端认证失败重试定时器,取值范围为10~65535,单位为秒。
reauth-period reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。
tx-period tx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒。
【使用指导】
802.1X认证过程受以下定时器的控制:
· 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
· 静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对处于静默状态的用户进行802.1X认证处理。通过配置fail-retry和retry-period参数,可以设置用户在一定时间内可以认证失败的次数。在retry-period-value时间内用户可以认证fail-retries次,直至认证成功或到达配置的认证失败次数。若到达配置的认证失败次数,则进入静默状态。若静默前客户端认证失败重试定时器超时,但未到达允许认证失败的次数,则重新开始计数。
· 若不指定fail-retry和retry-period参数,用户首次认证失败就会进入静默状态。若指定fail-retry参数的值为1,则用户首次认证失败就会进入静默状态。
· 周期性重认证定时器(reauth-period):接口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对接口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.1X认证失败。
· 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
· 用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。
一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
除周期性重认证定时器外的其他定时器修改后可立即生效。
【举例】
# 设置认证服务器的超时定时器时长为150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【相关命令】
· display dot1x
reset dot1x access-user命令用来强制802.1X用户下线。
【命令】
reset dot1x access-user [ interface interface-type interface-number | mac mac-address | username username ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示强制指定接口下的802.1X用户下线。interface-type interface-number为接口类型和接口编号。
mac mac-address:表示强制指定MAC地址的802.1X用户下线。mac-address表示802.1X用户的MAC地址,格式为H-H-H。
username username:表示强制指定名称的802.1X用户下线。username表示802.1X用户的名称,为1~253个字符的字符串,区分大小写。
【使用指导】
强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行802.1X认证。
如果不指定任何参数,则强制设备上所有802.1X用户下线。
【举例】
# 强制接口Ten-GigabitEthernet3/1/1上的所有802.1X用户下线。
<Sysname> reset dot1x access-user interface ten-gigabitethernet 3/1/1
【相关命令】
· display dot1x connection
reset dot1x statistics命令用来清除802.1X的统计信息。
【命令】
reset dot1x statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口上的802.1X统计信息。interface-type interface-number为接口类型和接口编号。如果不指定本参数,则清除所有接口上的802.1X统计信息。
【举例】
# 清除接口Ten-GigabitEthernet3/1/1上的802.1X统计信息。
<Sysname> reset dot1x statistics interface ten-gigabitethernet 3/1/1
【相关命令】
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
